ncix
@ncix
Предприниматель

Персональные данные третьих лиц

Доброй ночи.
Задумал реализовать одну идею, и если не вдаваться в детали, один человек может отправить другому при помощи веб-сервиса обычное бумажное письмо. В этой идее меня беспокоит вопрос выполнения требований 152-ФЗ: Адрес и ФИО получателя, по факту, являются персональными данными. В законе черным по белому написано, что для обработки ПД необходимо писменное согласие субъекта. Но его даже теоретически не получить, ведь отправляет письмо совсем другой человек. Именно он вводит адрес и получателя, т.е. фактически передает мне ПД другого человека.

Как быть с данным вопросом с юридической точки зрения? Есть ли способ каким-то образом сделать такой сервис белым и пушистым для Регулятора?
  • Вопрос задан
  • 7826 просмотров
Пригласить эксперта
Ответы на вопрос 6
В новой версии Закона о персональных данных (от июля 2011 года) если лицо «А» (не важно юридическое или физическое) поручает Вам обработку персональных данных лица «Б», то именно лицо «А» ответственно за то, что оно имеет разрешение от лица «Б» на передачу его данных Вам.

Вы при этом являетесь «обработчиком ПДн», а лицо «А» — «оператором ПДн».

Части 3, 4, 5 статьи 6-ой (новой редакции):

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Ответ написан
@Loreweil
1. Сейчас нет обязательного требования письменного согласия, есть просто «согласие», то есть вам нужно каким-то образом доказать факт получения согласия регулятору. Конечно в этом плане письменное согласие снимает все вопросы. Можно конечно реализовать галочку «Я согласен», но отправитель не может давать согласие за получателя на обработку его ПДн.
2. Согласие не требуется для осуществления почтовых отправлений, но это по-моему не ваш случай. Хотя можно попробовать доказать, что эти данные у вас не хранятся. Тут как раз необходимы детали, в которые вы не стали вдаваться =)
3. На различных конференциях представители РКН на вопросы о персональных данных отправляемых через веб-формы заявляют что такая информация не является персональными данными, так как никак нельзя проверить ее достоверность. И действительно, откуда вы знаете, что человек, который сказал вашей веб-форме что он Иван Иванов на самом деле Иван Иванов?
4. Поскольку вопрос действительно неординарный, я бы вам посоветовал позвонить в ваше региональное отделение РКН и узнать их мнение по этому вопросу. Как показывает практика, регулятор всегда идет на встречу операторам, желающим сделать все как надо. Ну, хуже точно не будет, тем более рассказывать что конкретно за проект им не нужно, нужно лишь описать ситуацию в общих чертах.
Ответ написан
kimssster
@kimssster
Есть такой термин — «когнитивное согласие». Если те субъекты ПДн передают лицу, отправляющему ПДн Вам, для определенных целей, услуг и т.д, а Вы не можете с них взять согласие на обработку, то подразумевается, что они сами согласны на это. Пример: в организацию удаленно обращается человек с описанием проблемы, содержащей ПДн, даже к1, организация не может взять с субъекта согласие, но по своему уставу обязано эти данные принять и обработать. Вот здесь и вступает в силу когнитивное согласие.
Ответ написан
@LastDragon
> Адрес и ФИО получателя, по факту, являются персональными данными.

Именно получатель должен будет разрешить вам обрабатывать свои данные. Если честно как сомнительно что кто-то на это согласится («разреши левому сайту хранить свои ПД и получи письмо счастья», я бы послал :) )

> В законе черным по белому написано, что для обработки ПД необходимо писменное согласие субъекта.

Письменное согласие необходимо только для некоторых категорий ПД (для них в законе это явно указано).
Ответ написан
@msuhanov
Как быть с данным вопросом с юридической точки зрения? Есть ли способ каким-то образом сделать такой сервис белым и пушистым для Регулятора?


Нет.

Пункт 2 части 1 статьи 6 ФЗ «О персональных данных» допускает обработку персональных данных лица без его согласия в целях, предусмотренных законами. Одним из таких законов является ФЗ «О почтовой связи». Во второй статье этого закона определено понятие адресных данных пользователей услуг почтовой связи (ФИО, почтовый адрес), а в статье 21 закреплено, что в случае неточности или неполноты адресных данных почтовое отправление возвращается отправителю. Т. е. суть почтовой связи, определенная в ФЗ «О почтовой связи», требует обработки персональных данных получателей почтовых отправлений, причем такая обработка, будучи регламентированной на уровне федерального закона, не требует согласия получателя в соответствии с вышеуказанным положением ФЗ «О персональных данных» (то же, кстати, касается и персональных данных отправителя почтового отправления).

Однако деятельность по оказанию услуг почтовой связи, как и связи в целом, является лицензируемой (пункт 36 части 1 статьи 12 ФЗ «О лицензировании отдельных видов деятельности»). Ваш проект не удовлетворяет критериям деятельности в области почтовой связи, поскольку не предусматривает создание единого производственно-технологического комплекса средств, обеспечивающего передачу почтовых отправлений (см. определение почтовой связи в статье 2 ФЗ «О почтовой связи»). А значит «индульгенция» на обработку персональных данных из ФЗ «О почтовой связи» на Вас распространяться не будет.

А значит никак :-)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы